智能手机地理位置追踪服务Tracelo于2024年9月1日遭到入侵，泄露了其客户以及客户所针对的个人的数据。

一名使用化名“Satanic”的黑客声称已经攻破了智能手机地理定位跟踪服务Tracelo。结果，该黑客在臭名昭著的Breach Forums上泄露了超过140万人（1459014）的个人信息。

尽管这是一项相对较新的服务，Tracelo声称其提供的服务仅需电话号码即可确定一个人的位置，并将自己定位为一种寻找家人或其他个人的工具，且注重道德规范。

然而，尽管Tracelo表示其完全在线和远程运营，无需安装应用程序，只需要一个电话号码，但如何验证同意的缺乏透明度引发了隐私问题。

该公司坚称跟踪是负责任地进行的，需要被跟踪者事先明确同意，但批评者可能会认为，仅仅发送一条短信征求同意可能会很容易被用户绕过或误解。

此外，Tracelo对合法性和符合信息专员办公室建议的保证可能无法完全解决可能的滥用问题，特别是考虑到位置跟踪是一个涉及个人隐私和数据安全的敏感问题。

此次泄密事件发生于2024年9月1日。根据研究团队的分析，黑客成功提取了264MB的数据，其中包括三个CSV文件：一个名为“saas-backend.locate_phone_infos”，另一个名为“saas-backend.users”，第三个名为“saas-stage.users”。以下是对泄露记录的逐个文件进行深入分析。

“saas-backend.locate_phone_infos”文件似乎包含全球超过50万(646442)名受害者的个人信息，这表明这些人的位置据称已被追踪。以下是详细信息：
1. 全名
2. 电话运营商
3. 电话号码
4. 国家、城市和时区
5. 每条记录的唯一标识符
等等……

值得注意的是，没有发现任何证据表明此次泄露的信息中包含位置数据。

Saas-backend.users文件包含近一百万（803103）在Tracelo上注册账户的个人/客户的个人详细信息。其中包括以下信息：
1. 全名
2. 物理地址
3. Bcrypt密码哈希
4. 电子邮件地址（803013）
5. 上次登录日期
6. 订阅类型
7. Google ID号码
8. 国家、城市和邮政编码
等等……

文件“saas-backend.users”包含近一百万（803103）在Tracelo上注册账户的个人的个人信息。这些数据包括以下信息：
1. 电子邮件地址（9853）
2. 订阅类型
3. 帐户创建日期
4. Bcrypt密码哈希
等等……

我们已联系Tracelo征求意见，但讽刺的是，此次泄密事件涉及客户物理数据的泄露。虽然用户试图追踪他人的位置，但此次泄密并不包括目标个人的位置数据，而是泄露了客户自己的数据。

例如，文件“saas-backend.users”包含一些客户的实际地址和619979个人的Google ID号。Google ID号可用于跟踪一个人的大致地理位置、最近访问、经常访问的地方、他们去的餐馆、他们的反馈/评论，甚至他们上传到Google的照片。以下是我如何使用他们的Google ID跟踪Tracelo客户的一个例子：

由于Tracelo数据泄露事件中暴露了电话号码和电子邮件地址，受影响的个人应警惕潜在的网络钓鱼和语音钓鱼诈骗。网络犯罪分子经常使用此类个人信息来制作令人信服的欺诈信息，冒充受信任的实体来窃取更多敏感信息或财务数据。

此外，用户应警惕要求提供个人信息、密码或财务信息的意外电子邮件或电话。建议在回复任何通信之前验证其合法性，并向相关部门报告可疑活动，以防止成为这些骗局的受害者。